Оценка угроз, уязвимостей и риска для центров обработки данных
Корпорация Майкрософт предоставляет клиентам более 200 облачных служб в круглосуточном режиме. Некоторые примеры — корпоративные службы, такие как Microsoft Azure, Microsoft 365, Microsoft Dynamics, а также службы потребителей, такие как Bing, MSN, Outlook.com, Skype и Xbox Live. Эти службы размещаются в облачной инфраструктуре Майкрософт: глобально распределенных центрах обработки данных, пограничных вычислительных узлах и центрах обслуживания, а также в одной из крупнейших глобальных сетей в мире; с обширным волоконным следом, соединяющим их все. С момента открытия первого центра обработки данных в 1989 г. корпорация Майкрософт вложила миллиарды долларов в инфраструктуру и продолжаем сосредотачивать усилия на предоставлении надежных, масштабируемых веб-служб с усиленной защитой, эффективно управляя операционной деятельностью и затратами по мере развития служб.
Облачные службы Майкрософт созданы на основе доверия и безопасности. Их основной приоритет заключается в защите данных клиентов и приложений в облаке с помощью современных технологий, процессов и шифрования. Данные клиентов хранятся в центрах обработки данных Майкрософт, которые распределены по миру и защищены многоуровневыми мерами логической и физической безопасности. Центры обработки данных Майкрософт предназначены и предоставляются для защиты служб и данных от вредного воздействия стихийных бедствий, угроз окружающей среды или несанкционированного доступа.
Методология оценки угроз, уязвимостей и рисков
Программа оценки угроз, уязвимостей и рисков (TVRA) помогает понять, как корпорация Майкрософт определяет и смягчает влияние физических и экологических угроз на центры обработки данных Майкрософт. Корпорация Майкрософт стремится постоянно обновлять свои оценки рисков и методологии для улучшения и изменения условий. В результате анализы и выводы TVRA могут быть изменены, а отчеты считаются на определенный момент времени.
Майкрософт упрощает процесс TVRA путем выполнения следующих действий.
Выявление рисков
TVRA рассматривают широкий спектр сценариев угроз, возникающих в результате природных и человеческих (включая случайные) опасности. Результаты зависят от расположения, дизайна, предназначения и других факторов центра обработки данных. TVRA выбирает сценарии угроз для выделения в документе TVRA на основе требований клиентов, независимой страны, города и сайта оценки среды риска, предоставляемой сторонними и 1-сторонними сведениями о рисках. Для регионов с несколькими центрами обработки данных оценки рейтинга TVRA суммируются, чтобы предоставить целостную картину физических угроз, угроз окружающей среды, уязвимостей и рисков для оцениваемых расположений.
Типы сценариев угроз, рассматриваемые при оценке угроз, уязвимостей и риска (TVRA) для центра обработки данных:
- Внешние угрозы: инциденты, возникающие в результате внешних преднамеренных или случайных действий человека. Например, общественные беспорядки, терроризм, преступные действия, внешняя кража, самодельные взрывные устройства, вооруженное нападение, поджог, несанкционированное проникновение и авиакатастрофа.
- Внутренние угрозы: инциденты, возникающие в результате внутренней преднамеренной или случайной деятельности человека. Например, внутренняя кража и саботаж.
- Природные опасности: естественный процесс или явление, которые могут негативно повлиять на центры обработки данных. Например, тропические штормы, циклоны, наводнения, оползни, засуха, лесные пожары, землетрясения, вулканическая активность, сильные грозы с молниями, град, сильный ветер или ливни.
- Экологические угрозы: условия окружающей среды, которые могут негативно повлиять на центры обработки данных. Например, дефицит воды, перегрев и пандемии.
Анализ рисков
Угрозы оцениваются на основе оценки риска, присущего им; присущий риск вычисляется как функция присущего воздействия угрозы и присущей ей вероятности возникновения угрозы при отсутствии действий и средств управления. Эти оценки основаны как на отзывах внутренних экспертов в данной теме (SME), так и на использовании внешних показателей риска.
Остаточный риск
Остаточный риск определяется как мера оставшихся уровней риска после рассмотрения эффективности контроля. Эффективность управления оценивается как мера текущих действий и средств управления, предназначенных для предотвращения или выявления угроз, и оценка вероятности того, что средства управления окажут необходимое воздействие согласно своему предназначению и применению. Эти оценки основаны на совокупности отзывов внутренних экспертов по данной теме (SME) по вопросам эффективности управления для местоположений центров обработки данных, о которых говорится в TVRA.
Отчет
После завершения оценки создается отчет TVRA для утверждения руководством и для поддержки наших общих усилий, связанных с управлением рисками.
Ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по